是否可以将 RSA Archer 与多个 Active Directory 集成?
问问题
1560 次
1 回答
1
一切皆有可能,只看你愿意付出多少努力:)
选项 1(推荐):RSA Archer v5.x 支持多个 LDAP 同步配置。因此,您可以拥有多个可以同步用户的 AD 服务器。
副作用:
[a] 如果 AD1 和 AD2 都有同名用户,那么您将在 Archer 中创建两个不同域的用户。使用手动登录用户将需要提供不同的域。
[b] 不确定它在启用 SingleSignOn 的情况下如何工作。我认为 SSO 仅适用于主域,但我不确定 - 您可能想对此进行测试。
选项 2(AD 解决方法):我对 Active Directory 技术知之甚少,但我相信您可以在多个 AD 之间建立信任关系,从而使 AD2 中的某些组可以驻留在 AD1 中的另一个组中(它们将自动同步)。这样,您可以只与 Archer 同步一个 AD,但同时拥有来自两个 AD 的用户。
选项 3(数据库后端解决方法):在数据库中,您可以找到存储 LDAP 配置、用户和用户到组映射的表。您可以引入一个触发器,该触发器将在每次 LDAP 同步后制作用户表和用户组表的副本。因此,在您运行两次 LDAP 同步后,您将拥有两个备份副本。然后使用您的 SQL 触发器,您可以合并它们并覆盖原始表。使用这种方法,您可以针对多个 LDAP 源同步同一“archer 域”中的用户。
副作用:
[a] 您必须编写和维护自定义 SQL 代码。
[b] 在您的所有 LDAP 同步都被一一执行并由触发代码处理之前,用户可能无法正确访问环境。
祝你好运!
于 2015-06-08T04:13:52.427 回答